Interviews
Geprüfte IT-Sicherheit: Erste Firewalls mit BSI-Zulassung
Wenn Behörden oder die Bundeswehr vertrauliche Daten verarbeiten, benötigen die dazu eingesetzten IT-Sicherheitslösungen eine offizielle Erlaubnis: Die Produkte müssen das Zulassungsverfahren für VS-NfD beim Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgreich durchlaufen haben.
Dabei unterzieht das BSI – in der Rolle eines unabhängigen Dritten – Hersteller und Produkte einer gründlichen Prüfung. Bei Anwendern genießen Produkte mit einer BSI-Zulassung daher hohes Vertrauen.
Geregelt wird der Geheimschutz in der Verwaltungsvorschrift VSA (Verschlusssachenanweisung des Bundesministeriums des Innern). Bisher betraf die Zulassung die VPN-Funktionen. Im August 2019 wurde die Zulassung erstmals auch für die Firewall-Funktionen unserer IT-Sicherheitslösungen genuscreen und genucard ausgesprochen. Wir fragen Dr. Dirk Husfeld, bei genua zuständig für Zertifizierung und Zulassung, welche Bedeutung die erweiterte Zulassung hat.
Warum werden seit Kurzem auch die Firewall-Funktionen dem BSI-Zulassungsverfahren unterzogen?
Dr. Dirk Husfeld: Das geht auf die Neufassung der VSA zurück, die im August 2018 publiziert wurde. Sie enthält neben der Kryptografie jetzt zehn weitere IT-Sicherheitsfunktionen, die eine Zulassung des betreffenden Produktes durch das BSI notwendig machen. Davon sind auch und gerade für Firewalls die Funktionen „Informationsflusskontrolle“ und „Netzwerktrennung“ von Bedeutung.
Welches Ziel verfolgt die Zulassung zusätzlicher Produktfunktionen?
Dr. Dirk Husfeld: Es geht schlicht um mehr Sicherheit. Nicht nur die Vertraulichkeit und Integrität verschlüsselter Daten wird geprüft, sondern auch der Schutz gegen Ausspähung und Sabotage interner Netze sowie Aspekte der Verfügbarkeit wichtiger Funktionen und die Protokollierung, auf deren Basis Cyber-Angriffe analysiert werden können.
Die Implementierung der Produkte von genua musste dafür nicht angepasst werden, diese erfüllten bereits die aktuellen Anforderungen.
Entsprachen die Firewall-Komponenten unserer Produkte bereits den Zulassungsanforderungen oder mussten sie noch angepasst werden?
Dr. Dirk Husfeld: Die Implementierung der Produkte von genua musste dafür nicht angepasst werden, diese erfüllten bereits die aktuellen Anforderungen. Lediglich die Dokumentation gegenüber dem BSI musste erweitert werden, um die Erfüllung der neuen Anforderungen nachzuweisen. Was die Zukunft betrifft: Die Zeit steht nicht still, Anforderungen an die IT-Sicherheit ändern sich. Die Entwicklung der Produkte von genua geht weiter und wird dies auch zukünftig berücksichtigen.
Oft wird die BSI-Zulassung mit einer BSI-Zertifizierung verwechselt. Wo liegt der Unterschied?
Dr. Dirk Husfeld: Der wichtigste Unterschied für den Anwender: Im Rahmen einer BSI-Zertifizierung nach den Common Criteria definiert der Hersteller selbst, welche IT-Sicherheitseigenschaften sein Produkt auszeichnen. Der Kunde entscheidet dann, ob diese zu seinen Anforderungen passen. Bei einer Zulassung kennt das BSI das Anwendungsfeld und bestimmt, welche Eigenschaften das Produkt besitzen muss. Der Nachweisprozess, in dem festgestellt wird, ob das Produkt die behaupteten bzw. geforderten Eigenschaften tatsächlich besitzt, ist dann wieder vergleichbar.
Danke für das Gespräch!
